详细内容或原文请订阅后点击阅览
Valak 恶意文档分析
摘要 Valak 恶意软件变种似乎是一种新兴威胁,因为其运营商的活动量有所增加。除了相对较新之外,Valak 还因其其他一些操作方面而引人注目,例如有趣的执行链和 VB 宏脚本中利用的一些非常规策略……阅读
来源:Security Soup _恶意软件分析摘要
Valak 恶意软件变体似乎是一种新兴威胁,因为其运营商的活动量有所增加。除了相对较新之外,Valak 还因其其他一些操作方面而引人注目,例如有趣的执行链和其恶意文档下载器的 VB 宏脚本中利用的一些非常规策略。本周早些时候,我偶然发现了 Valak 恶意软件的一个有趣样本,因此我想分享一些额外的细节,这些细节可能有助于其他人进行自己的分析,并可能提供一些关于如何进行检测、响应和补救的见解。
在这篇博客中,我将简要分享我开发的 Python 脚本,用于在分析师无法访问包含密码的原始电子邮件消息的情况下破解受密码保护的恶意文档。接下来,我将介绍几种可用于从文档中提取 VBA 宏的不同方法。最后,我将快速介绍一些基本的静态分析技术来反混淆宏脚本,并查看文档中的反分析/规避策略,并从中提取妥协指标 (IOC)。我们开始吧!
Valak 概述
Valak 恶意软件于 2019 年 12 月左右首次被发现。它似乎通常用作下载器,为其他电子犯罪参与者提供次要恶意软件负载。特别是,Lunar Spider 的 Bokbot (IcedID) 似乎是最近活动中常见的后续恶意软件。然而,Valak 是一个模块化框架,能够下载其他插件以促进信息窃取和侦察。Cybereason 的安全研究人员最近撰写了一篇很棒的文章,详细介绍了这些附加功能及其整体执行链,因此我建议查看此资源以获取更多技术细节。
出现 Lunar Spider 写